Petya Ransomware / Wiper modus operandi adalah anggur lama dalam botol baru

Petya Ransomware / Wiper telah menciptakan malapetaka di Eropa, dan sekilas infeksi pertama kali terlihat di Ukraina ketika lebih dari 12.500 mesin dikompromikan. Bagian terburuknya adalah infeksi juga menyebar ke Belgia, Brasil, India dan juga Amerika Serikat. Petya memiliki kemampuan cacing yang memungkinkannya menyebar secara lateral di seluruh jaringan. Microsoft telah mengeluarkan panduan tentang cara menangani Petya,

Petya Ransomware / Wiper

Setelah penyebaran infeksi awal, Microsoft kini memiliki bukti bahwa beberapa infeksi aktif ransomware pertama kali diamati dari yang sah Proses pembaruan MEDoc. Hal ini membuat kasus yang jelas dari serangan rantai pasokan perangkat lunak yang telah menjadi sangat umum dengan penyerang karena membutuhkan pertahanan tingkat yang sangat tinggi.

Gambar di bawah ini menunjukkan bagaimana proses Evit.exe dari MEDoc menjalankan perintah berikut baris, Vektor serupa menarik juga disebutkan oleh Polisi Maya Ukraina dalam daftar umum indikator kompromi. Yang sedang mengatakan Petya mampu

• Mencuri kredensial dan memanfaatkan sesi aktif
• Mentransfer file berbahaya di seluruh mesin dengan menggunakan layanan file-sharing
• Menyalahgunakan kerentanan SMB dalam kasus mesin unpatched.

Mekanisme pergerakan lateral menggunakan pencucian kredensial dan peniruan terjadi

Semuanya dimulai dengan Petya menjatuhkan alat dumping kredensial, dan ini datang dalam varian 32-bit dan 64-bit. Karena pengguna biasanya masuk dengan beberapa akun lokal, selalu ada kemungkinan bahwa salah satu sesi aktif akan terbuka di beberapa mesin. Kredensial yang dicuri akan membantu Petya untuk mendapatkan tingkat akses dasar.

Setelah selesai, Petya memindai jaringan lokal untuk koneksi yang valid pada port tcp / 139 dan tcp / 445. Kemudian pada langkah selanjutnya, ia memanggil subnet dan untuk setiap pengguna subnet tcp / 139 dan tcp / 445. Setelah mendapatkan respons, malware akan menyalin biner pada mesin jarak jauh dengan memanfaatkan fitur transfer file dan kredensial yang sebelumnya telah berhasil dicuri.

Psexex.exe dijatuhkan oleh Ransomware dari sumber yang tertanam. Pada langkah berikutnya, ia memindai jaringan lokal untuk admin $ shares dan kemudian mereplikasi dirinya sendiri di seluruh jaringan. Terlepas dari kredensial dumping malware juga mencoba untuk mencuri kredensial Anda dengan memanfaatkan fungsi CredEnumerateW untuk mendapatkan semua kredensial pengguna lainnya dari credential store.

Enkripsi

Malware memutuskan untuk mengenkripsi sistem tergantung pada tingkat proses privilege malware, dan ini dilakukan dengan menggunakan algoritma hashing berbasis XOR yang memeriksa nilai hash dan menggunakannya sebagai pengecualian perilaku.

Pada langkah berikutnya, Ransomware menulis ke master boot record dan kemudian mengatur up sistem untuk reboot. Selain itu, ia juga menggunakan fungsi tugas yang dijadwalkan untuk mematikan mesin setelah 10 menit. Sekarang Petya menampilkan pesan kesalahan palsu diikuti dengan pesan Ransom yang sebenarnya seperti yang ditunjukkan di bawah ini.

Ransomware kemudian akan mencoba mengenkripsi semua file dengan ekstensi yang berbeda di semua drive kecuali C: Windows. Kunci AES yang dihasilkan adalah per fixed drive, dan ini diekspor dan menggunakan kunci publik RS48 2048 bit yang tertanam dari penyerang, kata Microsoft.